El fraude del CEO: cuidado con el email urgente de tu jefe... podría ser un impostor
ESCRIBE LA BÚSQUEDA Y PRESIONA ENTER

El fraude del CEO: cuidado con el email urgente de tu jefe... podría ser un impostor

COMPARTIR

···

El fraude del CEO: cuidado con el email urgente de tu jefe... podría ser un impostor

Las compañías con operaciones transfronterizas son víctimas fáciles de estafadores que se hacen pasar por sus directivos y ordenan transferencias a bancos de Hong Kong.

Por Sheridan Prasso
02/01/2019
Actualización 02/01/2019 - 21:21
Al registrarte estás aceptando el aviso de privacidad y protección de datos. Puedes desuscribirte en cualquier momento.

Si trabajas para una compañía con negocios en todo el mundo, hay un tipo de estafa cada vez más común, la conocida como "business email compromise" o el fraude del CEO. Entre las víctimas de los últimos años están Ferrari NV y Arrow Electronics, que perdieron millones de dólares luego de que sus empleados fueron engañados para transferir dinero a cuentas bancarias de Hong Kong.

La estafa funciona de la siguiente manera: un empleado en una oficina remota de la compañía recibe un correo electrónico que pretende ser de un alto ejecutivo u otra persona con autoridad. El correo fraudulento luce a simple vista como si fuera del jefe, con una o dos letras incorrectas en la dirección, o quizás es una cuenta auténtica pero hackeada. El correo indica que el empleado ha sido elegido para una tarea especial, que exige discreción y urgencia, y por lo general solicita la transferencia inmediata de fondos a una cuenta con sede en Hong Kong para realizar una compra o pagar una factura. Una vez que se transfiere el dinero, éste se canaliza rápidamente a otras cuentas, desapareciendo en un laberinto de redes que se extienden a China y otros países.

La estafa ha causado pérdidas globales de más de 12 mil millones de dólares en 78 mil compañías en 150 países desde 2013, según el FBI, que identificó a cuentas bancarias de Hong Kong y China como los principales destinos de este tipo de fraude en los últimos años. Estas estafas aumentaron 136 por ciento en términos de valor en los 18 meses previos a mayo de 2018, en el periodo previo de 2015-2016 crecieron mil 300 por ciento, dice el FBI.

"Es una tendencia en aumento, porque es una forma más focalizada y eficiente de monetizar el delito cibernético", explica Amie Chang, jefa de la oficina de investigación en Hong Kong de la firma Nardello & Co. "Como Hong Kong es un importante centro comercial y financiero, es fácil ocultar las transacciones ilegítimas entre las legítimas”. Y en una economía globalizada, es fácil que los empleados crean que su empresa necesita transferir urgentemente fondos a Hong Kong.

"Es infame", dice Jeff Lane, socio del bufete de abogados Tanner De Witt, representante en Hong Kong de FraudNet, la herramienta de referencia de la Cámara de Comercio Internacional. La firma de Lane manejó 57 casos en 2017, pero en 2018 ya llevaba la misma cifra al mes de septiembre.

Lane estima la tasa de recuperación general, si las empresas actúan rápidamente para congelar los fondos, en menos del 50 por ciento. Las firmas de abogados deben identificar primero todas las cuentas que recibieron el dinero tal como fue dividido y transferido, y luego solicitar la congelación de cada cuenta, si aún hay dinero en ella. Luego, los abogados tienen que solicitar un fallo sumario para obtener la devolución del dinero, un proceso que puede demorar años si se impugna. "El crimen obviamente paga si solo recuperas la mitad del dinero", dice Lane.

En el caso de mayor envergadura reportado en 2018, un fabricante español de piezas mecánicas fue estafado con once millones de euros que se dispersaron en múltiples cuentas bancarias en Hong Kong. La policía dijo que pudo devolver el 60% del dinero defraudado.

En 2017, la unidad norteamericana de Ferrari fue despojada de 6 millones 700 mil dólares cuando "una persona desconocida que se hizo pasar por el director ejecutivo de la empresa matriz del demandante, Ferrari SpA" indujo a un ejecutivo sénior a autorizar un pago en tres cuotas a una cuenta bancaria hongkonesa "como parte de una falsa transacción para comprar acciones de una compañía cotizada en nombre de la empresa matriz del demandante", según una querella que busca recuperar los fondos en el Tribunal Superior de Hong Kong. (Los documentos del tribunal se modificaron posteriormente: el suplantado fue el director financiero, no el director ejecutivo).

El dinero primero fue transferido a la cuenta de una compañía hongkonesa que comercializa madera para pisos. Luego, una parte se canalizó a una empresa de alimentos congelados antes de pasar por otras cuentas, incluida la de un vendedor de carne congelada y varias empresas de importación y exportación. En julio, el tribunal emitió un fallo sumario contra una empresa de importación y exportación que había recibido tres millones 300 mil dólares del dinero de Ferrari a través de la compañía de pisos de madera, argumentando que ésta u otras dos compañías a las que había transferido los fondos deben devolver el dinero porque nunca tuvieron ningún trato con la automotriz que justificara dichos pagos. Hasta ahora, según una persona familiarizada con el caso, los abogados han podido recuperar dos millones 200 mil dólares de los fondos de Ferrari, luego de que los destinatarios no reivindicaran que los fondos eran legítimamente suyos. Ferrari se negó a comentar sobre el caso.

Arrow, una compañía de componentes electrónicos con sede en Centennial, Colorado, fue estafada con 23 millones 400 mil dólares cuando un empleado de una filial en Noruega fue “inducido por personas que se hacían pasar, por teléfono o correo electrónico, por el CEO de Arrow Electronics o por un abogado de un bufete en Wisconsin" para transferir el monto en nueve pagos en el curso de cinco días en 2016, según un caso que se dirime en el Tribunal Superior de Hong Kong. La compañía descubrió el fraude cuatro días después y ordenó a su banco noruego recuperar los fondos. El banco solo pudo recobrar 6 millones de dólares. Los 17 millones 400 mil dólares restantes ya habían sido transferidos a seis cuentas bancarias de HSBC en Hong Kong, cuyos titulares luego volvieron a transferir los fondos, según documentos judiciales. HSBC Holdings Plc declinó hacer comentarios al respecto.

La solicitud al Tribunal Superior que busca recuperar dichos fondos de 26 cuentas no alega que sus titulares hayan cometido fraude, solo que recibieron el dinero y deberían devolverlo. Uno de los destinatarios, una casa de cambio, argumentó que había realizado una conversión legítima del dinero a yuanes chinos, que luego fueron transferidos a China. En mayo de 2018, el tribunal ordenó en un fallo sumario que se devolvieran 4 millones de dólares depositados en varias cuentas. Arrow continúa buscando la recuperación de su dinero en la corte.

Hasta ahora, la policía de Hong Kong se ha negado a presentar cargos contra los receptores de los fondos, muchos de los cuales afirman que no saben por qué recibieron el dinero. La policía "continúa estableciendo como una de sus prioridades operativas el combate a la delincuencia tecnológica y la ciberseguridad", dijo un portavoz en un comunicado. De julio de 2017 a julio de 2018, la policía había manejado mil 382 casos de toda clase de delitos cibernéticos que ascendían a 488 millones de dólares, y ayudó a recuperar 80 millones de dólares en 321 casos, según el comunicado.

"Hasta donde sabemos, nadie ha sido arrestado por esto", dice Susan Kendall, socia del bufete Baker McKenzie en Hong Kong, cuya oficina ha manejado más de cien casos del fraude del CEO o “business email compromise” en los últimos tres años. Aunque más allá de Hong Kong sí se han producido detenciones: el FBI anunció en junio de 2018 una operación internacional que arrestó a 74 personas por el fraude del CEO, incluidos individuos de Estados Unidos, Nigeria, Canadá, Mauricio y Polonia. La oficina de Hong Kong del Departamento de Justicia de Estados Unidos declinó discutir el tema. Pero Kendall dice que su bufete recibe casos a una tasa de cuatro por mes. "Seguimos viendo cómo las compañías Fortune 500 caen víctimas de esta estafa", apunta.

—Con la colaboración de Tommaso Ebhardt